CN105224872A - 一种基于神经网络聚类的用户异常行为检测方法 - Google Patents

Abstract

本发明公开一种基于神经网络聚类的用户异常行为检测方法，首先将用户的行为数据集矩阵进行SVD分解及去噪，然后将去噪后的矩阵输入到神经网络的输入层，接着在神经网络的隐含层进行各用户所有属性的权重并将其进行标准化，在输出层将其输出，最后分别计算各用户与正常行为模型数据库中各用户的相似度和阈值的大小，如果大于阈值的直接为异常行为并进行相应的提示及防范措施，反之为正常行为，将其合并到正常模型数据库中进行实时更新数据库；本发明通过各部分的配合有效实现了高的检测率和低的误报率。

Description

一种基于神经网络聚类的用户异常行为检测方法

技术领域

本发明涉及信息安全可信性技术领域，具体的说是涉及一种基于神经网络聚类的用户异常行为检测方法。

背景技术

当今处于大数据时代，用户的各种信息均存储在计算机中，给人们的工作和生活带来便利的同时也使信息安全面临严峻的考验，随着计算机的普及，各种黑客及入侵行为层出不穷，随着网络攻击技术的日趋成熟，变化多端，传统的被动的防御手段显著不能很好的解决用户信息的安全问题，针对各种被动的防御措施，人们更加倾向于主动的检测技术，而采用图聚类的检测用户异常行为的方法倍受青睐。

采用图聚类的方法实现用户异常行为的识别和检测已经由来已久，该方法的目标就是基于对象间的相似性来划分。基于聚类分析的方法的显著特点就是无监督性。“物以类聚，人以群分”是对图聚类最好的描述。聚类分析是人们认识和探索事物内在联系的一种手段，是按照事先确定好的概念对数据集进行分类，使得分类后同一类中的数据相似性尽可能的大，不同类间的相似性尽可能的小。这种图聚类可以极大的降低可视复杂性，增强图的可视性，有利于可视化分析和观测。

现实世界需要存储和处理的数据海量剧增，如果存储这些数据则需要耗费大量的存储空间，进行图聚类时大大降低聚类速度，再则高维分类型数据中，数据空间中的一些噪音属性（不相关特征）掩盖了要寻找的聚类目标簇及其对应的特征子空间，使得传统的聚类算法在高维分类数据空间中无法得到有效聚类。

传统的聚类分析是一种硬化分，它将每个待辨识的对象严格的划分到某个类中，具有非此即彼的特性。因此这种分类的类别界限是分明的，容易造成过拟合现象。而实际上大多数对象并没有严格的属性，它们在性态和类属方面存在着中介性，适合进行软化分。

通过检测用户的异常行为来保证可信性是其主要研究方向。异常检测(AnomalyDetection)最早是由JamesAnderson提出的，它的主要思想是根据用户行为的一些统计信息来建模，并且通过模型来发现“入侵者”。异常检测的前提是假定异常行为和正常行为存在较大的差别，在用正常数据进行建立检测模型后，然后用模型对待检测数据进行处理，如果发现匹配结果超过了设定的阈值范围，则认为是异常行为。由此可以看出，异常检测对数据的检测并不要求严格的匹配，不用实时维护规则，有着发现未知攻击的能力。但是这种技术也存在缺点，它的误报率相对比较高。

发明内容

本发明为了解决上述技术问题，提供一种基于神经网络聚类的用户异常行为检测方法。

本发明所采用的技术方案是：一种基于神经网络聚类的用户异常行为检测方法，包括以下步骤：

步骤1、假定每个用户为一个对象，将对象的行为数据作为该对象的属性，用n*m维的矩阵实矩阵A表示为对象-属性结构，A矩阵表示为，其中，表示为第i个对象的第j个属性；

步骤2、将步骤1中的矩阵A利用公式A=USV^T进行SVD分解，其中，U=（u₁,u₂,…,u_m），V=（v₁,v₂,…,v_n），，，（i=1,2,…,r），为A^TA的非零特征值全体，按降序排列，即为A的奇异值；

步骤3、将分解后的SVD矩阵根据下列公式（1）-（3）来计算有效秩的阶数对用户行为信息进行降噪

（1），

（2），

（3），其中，，组成的序列为矩阵H(X)经奇异值分解后的奇异谱，s为矩阵H(X)的奇异值个数，k为奇异熵的阶数，表示奇异熵在阶数i处的增量；

步骤4、将降维后的矩阵按照奇异值降序所对应的列向量重新组合成量的维数；

步骤5、将神经网络输入层接收到的用户信息利用公式（5）、（6）分清进行权重的计算和权重的标准化；

（5），

（6），其中，为每个用户的属性维数，为各用户行为在总的用户行为中出现的概率，且，n为用户数量；

步骤6、输出较为精确的标准化权重矩阵即，第一层与第二层间的权值为1，第二层与第三层间的权重在[0-1]内；

步骤7、利用公式计算各用户的当前行为信息与正常行为模型数据库中的行为信息的相似度，其中，i和j表示两相比较用户，Sim取值在[0,1]内，取值越大，说明两用户相似度越高；

步骤8、利用公式计算聚类的阈值；

步骤9、比较步骤7和步骤8中得出的相似度和阈值，若相似度大于阈值则为异常行为，系统做出相应的提示及防范措施，若相似度小于等于阈值则为正常行为；

步骤10、将正常行为增加一列标准化权重元素更新至正常行为模式数据库中等待下次检测用户行为。

本发明的有益效果：本发明将图聚类、SVD分解、信息熵、神经网络引入到异常检测中，使得该模型具备了各方法的优点，SVD分解可以有效提高信噪比。SVD分解在描述矩阵时是稳定的，具有转置不变性，旋转不变性，唯一不变性，镜像变换不变性等重要性质，因此SVD分解可以作为矩阵的一个有效的代数特征描述。在进行SVD分解时，运用Map-Reduce模型及其分布式特性，进行并行式分解，提高分解速度。将SVD分解引入到该模型中，避免了因海量信息而使系统难以获得有用的信息，同时有效提高信噪比，有利于对异常行为进行精确诊断。将神经网络引入到检测中，避免了硬化分的同时充分利用其自学习功能、联想记忆功能、分布式并行信息处理功能准确检测异常行为，同时在神经网络模型的隐含层中引入信息熵有效解决了传统神经网络一般不能处理具有语义形式的输入，不能确定哪些知识是冗余的，那些知识是有用的不足。将神经网络引入聚类过程中以增加检测的模糊性，针对传统的聚类只能进行硬化分的缺点，提出了一种含有输入层、隐含层、输出层三层的RBF神经网络，但是采用的是等权重的形式求取相似度，但在实际应用中，对象的内在性质不同，表现出来的重要性也就不同，在计算相似度的时候可能会淹没一些重要特征值的个性信息，进而可能导致对整体相似度的误判。本发明在隐含层中使用信息熵确定权重的客观相似度分析法，加入了属性权重因子，避免了依靠人为指定权重的主观因素影响。

附图说明

图1为本发明结构框图；

图2为本发明Map-Reduce模型图；

图3为本发明流程框图。

具体实施方式

如图所示，一种基于神经网络聚类的用户异常行为检测方法，其特征在于：包括以下步骤：

步骤1、假定每个用户为一个对象，将对象的行为数据作为该对象的属性，用n*m维的矩阵实矩阵A表示为对象-属性结构，A矩阵表示为，其中，表示为第i个对象的第j个属性；

步骤2、将步骤1中的矩阵A利用公式A=USV^T进行SVD分解，其中，U=（u₁,u₂,…,u_m），V=（v₁,v₂,…,v_n），，，（i=1,2,…,r），为A^TA的非零特征值全体，按降序排列，即为A的奇异值；

步骤3、将分解后的SVD矩阵根据下列公式（1）-（3）来计算有效秩的阶数对用户行为信息进行降噪

（1），

（2），

（3），其中，，组成的序列为矩阵H(X)经奇异值分解后的奇异谱，s为矩阵H(X)的奇异值个数，k为奇异熵的阶数，表示奇异熵在阶数i处的增量；

步骤4、将降维后的矩阵按照奇异值降序所对应的列向量重新组合成量的维数；

步骤5、将神经网络输入层接收到的用户信息利用公式（5）、（6）分清进行权重的计算和权重的标准化；

（5），

（6），其中，为每个用户的属性维数，为各用户行为在总的用户行为中出现的概率，且，n为用户数量；

步骤6、输出较为精确的标准化权重矩阵即，第一层与第二层间的权值为1，第二层与第三层间的权重在[0-1]内；

步骤7、利用公式计算各用户的当前行为信息与正常行为模型数据库中的行为信息的相似度，其中，i和j表示两相比较用户，Sim取值在[0,1]内，取值越大，说明两用户相似度越高；

步骤8、利用公式计算聚类的阈值；

步骤9、比较步骤7和步骤8中得出的相似度和阈值，若相似度大于阈值则为异常行为，系统做出相应的提示及防范措施，若相似度小于等于阈值则为正常行为；

步骤10、将正常行为增加一列标准化权重元素更新至正常行为模式数据库中等待下次检测用户行为。

本发明主要由三个模块组成（如图1所示），SVD分解模块、神经网络模块、图聚类模块，三个模块分工协作，共同支撑用户异常行为检测方案。

下面详细说明各个模块的操作过程：

（一）SVD分解模块

在当今网络遍布的情况下，计算机用户数不胜数，用户的行为信息数量更是难以衡量。而聚类是要对所有用户的所有属性加权后进行聚类，所以只取原始图中的部分节点是不可行的，如果直接将所有用户的所有属性都直接进行聚类会极大的降低聚类效果，时间复杂度和计算复杂度都很高，存储开销也很大。因此将SVD引入聚类中进行降维有很好的应用前景，提高了聚类速度而不降低聚类精度，减少了存储开销，可视性较好。另外大多数现实世界的数据库均包含异常数据、不明数据、数据丢失和噪声数据，有些聚类算法对这样的数据非常敏感并会导致获得质量较差的数据。本文采用SVD分解算法在降维的同时还可以获得较高的信噪比，还可以通过自学习将矩阵中丢失的元素补充完整，鲁棒性较好。

将每个用户作为一个对象，将对象的行为数据集作为该对象的属性来看，每个子数据集看作该对象的一个属性，该矩阵表示为对象-属性结构。可以用n*m维的矩阵表示：

其中表示第i个对象的第j个属性，此矩阵的构造是为了方便对各个数据进行分类而设计的。

1.1.1矩阵的SVD分解

对于任意n*m的实矩阵A，都存在m阶正交矩阵U和n阶正交矩阵V，使得A=USV^T，式中，（i=1,2,…,r）是AA^T（也是A^TA）的特征值，，为A^TA的非零特征值全体，按降序排列，称为A的奇异值。若令U=（u₁,u₂,…,u_m），V=（v₁,v₂,…,v_n），则u_i和v_i（i=1,2,…,r）分别是AA^T和A^TA对应于的特征向量，u_i和v_i是为了使U和V构成正交矩阵而引入的向量。

1.1.2SVD并行处理

将矩阵分解为一系列小矩阵，对每个矩阵进行SVD运算，然后将处理结果合并成新的矩阵作为下次迭代的输入，子矩阵的SVD运算相互之间是相互独立的，因此可以进行并行处理，加快运算速度。

SVD分解的核心思想在于降维，令高维矩阵转化为低维矩阵，更加易于处理计算，降维成多个低维子矩阵后进行并行计算的基本思想如图2所示。核心是Map和Reduce两个函数。在Map阶段，输入端将每个用户的行为属性作为一个子任务，分配到各个服务器上，任务的分配遵循最小传输代价原则以减少不必要的网络开销，各服务器进行并行处理，将处理结果作为中间结果临时存储在本地存储器，即Map函数接收一个输入的key/value对，将输入文件中的key/value对映射为中间结果key/value对；Reduce阶段将这些中间结果作为输入进行合并，即Reduce函数根据中间数据的key值对中间结果进行处理生成最终结果key/value输出。

1.1.3SVD降噪

对于每一个含有噪声的信息子矩阵，通过相空间重构构造阶的Hankel矩阵

式中，N=m+n-1，D_n*m为不受噪声干扰的信息子空间，W_n*m为噪声信息子空间。将重构的矩阵分解得到一系列的奇异值和奇异值向量，该矩阵的奇异值是降序排列的，前k个较大的奇异值表示有用的属性，后n-k个奇异值表示噪声属性，通过将该n-k对应的奇异值置零，从而达到消噪的目的，然后再利用奇异值分解的逆过程得到矩阵那么矩阵，该矩阵为H的秩为k(k<n)的最佳逼近矩阵。利用该方法进行降噪，要达到较好的效果的关键是确定有效秩的阶次和重构矩阵的结构。

有效阶的确定：不同的降噪阶数对信息降噪效果具有较明显的影响，本文用奇异熵来确定阶数。

首先已知奇异谱的概念：

（1）

其中，由组成的序列为矩阵H(X)经奇异值分解后的奇异谱。

考察信息量随奇异谱阶数的变化规律，引入奇异熵的概念：

（2）

式中s为矩阵H(X)的奇异值个数，k为奇异熵的阶数，表示奇异熵在阶数i处的增量，通过下式计算得到：

（3）

当所选奇异谱降噪阶次较低时，降噪信号包含的信息不完整，甚至有信号波形畸变现象发生，不足以对原信号的有效信息特征做出准确反映；而当所选奇异谱降噪阶次较高时，在降噪后的信号中仍保留了一部分噪声信息，无法达到信号充分降噪的目的。而实际上，当奇异熵增量开始降低到渐进值时，信号的有效特征信息量已趋于饱和，特征信息已基本完整，之后的奇异熵增量是因宽频带噪声所致，完全可以不予考虑。因此，选取奇异熵增量开始降低到渐进值时的奇异谱阶次作为信号奇异谱降噪阶次是非常合理的。

经SVD分解后的各子矩阵是按照奇异值降序排列的，这些子矩阵描述的是矩阵的重要特性，奇异值最高的列向量对应的用户属性最重要，将最后n-k个奇异值所对应的列向量属性移除即为降噪后的矩阵。

（二）神经网络模块

神经网络具有自适应、自学习、自组织、并行性、联想记忆、联想映射、容错性好、鲁棒性高等特点，引入到检测用户异常行为中可以根据历史行为自动识别未来的类似行为，降低异常检测系统的误报率，自身具有的联想记忆可以发现已知异常行为的变种，降低漏报率。由于使用信息熵计算权重，而不是根据密集程度进行聚类，所以能够很好的检测出DDOS攻击。

构建神经网络模型大致概括为：首先为输入层，将降维后的矩阵按照奇异值降序所对应的列向量重新组合成一个大矩阵作为神经网络的输入，含有的神经元个数为组合后样本矢量的维数；其次为隐含层，由于权值的非均一性，在隐含层运用信息熵计算各子集的权重并对各权重进行标准化，在隐含层运用信息熵计算权重则不用考虑隐层节点数及相应中心节点位置和宽度，提高了算法的精确度；最后为输出层，输出较为精确的标准化权重矩阵即。第一层与第二层间的权值为1，第二层与第三层间的权重在[0-1]内。

该神经网络模型最重要的是隐含层中各属性权重的度量，主要运用信息熵计算各属性的权重，具体度量方法如下：

对于给定的样本集X，它的信息熵公式为：

（4）

式中为每个用户的属性维数，为各用户行为在总的用户行为中出现的概率，且。

利用信息熵计算各用户总属性的权重为：

（5）

将其权重标准化后为：

（6）

式中n为用户数量。

（三）图聚类模块

针对传统的聚类模型需要初始化聚类个数，对噪声点敏感，不能检测任意形状簇，本文提出一种新颖的聚类方法检测异常行为来克服上述缺点，运用聚类检测异常行为的前提条件是用户的正常行为和异常行为之间是有差异的。首先计算各用户与正常行为数据库中的相似度，然后将当前的用户行为与正常行为数据库进行对比，如果没有超出设定的阈值则为正常行为，反之为异常行为。设定阈值时，如果阈值设置的过大，则聚类精度不高而起不到聚类的效果，如果阈值设置的过小，簇增长的过快。所以聚类模型的核心之处在于相似度的计算与阈值的设定。聚类结果分为两个类：正常行为类、异常行为类。将用户行为进行迭代划分直至待分类用户为空。

相似度的计算与阈值的设定的具体方法如下：

用户i与用户j之间的相似度定义为：

（7）

Sim取值在[0,1]内，取值越大，说明两用户相似度越高。

阈值的设定：

（8）

本发明主要研究一种新的用户异常行为检测机制，首先将用户的行为数据集矩阵进行SVD分解及去噪，然后将去噪后的矩阵输入到神经网络的输入层，接着在神经网络的隐含层进行各用户所有属性的权重并将其进行标准化，在输出层将其输出，最后分别计算各用户与正常行为模型数据库中各用户的相似度和阈值的大小，如果大于阈值的直接为异常行为并进行相应的提示及防范措施，反之为正常行为，将其合并到正常模型数据库中进行实时更新数据库。每次更新数据库后，相应的阈值都会变化，流程图如图3所示。

Claims (1)

1.一种基于神经网络聚类的用户异常行为检测方法，其特征在于：包括以下步骤：

步骤1、假定每个用户为一个对象，将对象的行为数据作为该对象的属性，用n*m维的矩阵实矩阵A表示为对象-属性结构，A矩阵表示为，其中，表示为第i个对象的第j个属性；

步骤2、将步骤1中的矩阵A利用公式A=USV^T进行SVD分解，其中，U=（u₁,u₂,…,u_m），V=（v₁,v₂,…,v_n），，，（i=1,2,…,r），为A^TA的非零特征值全体，按降序排列，即为A的奇异值；

步骤3、将分解后的SVD矩阵根据下列公式（1）-（3）来计算有效秩的阶数对用户行为信息进行降噪

（1），

（2），

（3），其中，，组成的序列为矩阵H(X)经奇异值分解后的奇异谱，s为矩阵H(X)的奇异值个数，k为奇异熵的阶数，表示奇异熵在阶数i处的增量；

步骤4、将降维后的矩阵按照奇异值降序所对应的列向量重新组合成量的维数；

步骤5、将神经网络输入层接收到的用户信息利用公式（5）、（6）分清进行权重的计算和权重的标准化

（5），

（6），其中，为每个用户的属性维数，为各用户行为在总的用户行为中出现的概率，且，n为用户数量；

步骤6、输出较为精确的标准化权重矩阵即，第一层与第二层间的权值为1，第二层与第三层间的权重在[0-1]内；

步骤7、利用公式计算各用户的当前行为信息与正常行为模型数据库中的行为信息的相似度，其中，i和j表示两相比较用户，Sim取值在[0,1]内，取值越大，说明两用户相似度越高；

步骤8、利用公式计算聚类的阈值；

步骤9、比较步骤7和步骤8中得出的相似度和阈值，若相似度大于阈值则为异常行为，系统做出相应的提示及防范措施，若相似度小于等于阈值则为正常行为；

步骤10、将正常行为增加一列标准化权重元素更新至正常行为模式数据库中等待下次检测用户行为。